4. 详解 IPSec 配置参数意义

最新推荐文章于 2024-06-12 15:15:58 发布
最新推荐文章于 2024-06-12 15:15:58 发布
阅读量4.2k 收藏 14
点赞数 1
分类专栏: # IPSec 原理及硬件加速
原文链接:https://blog.csdn.net/jkwanga/article/details/109621684
版权

转者注:
此篇转载博文:strongswan配置使用(一);转载者仅限于调整条码编号,和个人理解补充描述;如有不妥之处、请读者阅读原文。

(1) IPSec 配置文件结构说明

  • ipsec.conf //配置ipsec隧道信息
  • ipsec.secerts // 密钥配置、设备私钥证书、 配置eap用户名和密码
  • strongswan.conf // strongswan组件配置

所有.conf文件

在这里插入图片描述

所有插件

在这里插入图片描述

服务端-实例配置

config setup
        charondebug="cfg 4, dmn 4, ike 4, net 4, knl 4"
        uniqueids=yes
        strictcrlpolicy=no
       
conn %default
        ikelifetime=24h       //在重新协商之前应该持续多长时间
        keylife=8h             //从成功协商到期应该持续多长时间
        rekeymargin=30m        
        keyingtries=3        
        keyexchange=ikev2        
        authby=psk   
        dpddelay=180s     
        ike=aes256-sha1-modp2048!        
        esp=aes192-sha1-esn!    //用于连接ESP加密认证算法
        mobike=no
        
conn test        			         //隧道名称,一条ipsec的起始处
        left=%any        		            //ipsec协商公网IP 填写IP或者%defaultroute
        leftcert=vrf_0.pem     		       //公钥证书
        leftsubnet=192.168.0.1/32         //本段保护子网
        leftid=198.18.0.1		          //本端id
        leftfirewall=yes        	//关闭防火
        
        right=%any        		          //ipsec对端IP  %any表示任意,服务端配置为%any
        rightid=198.18.0.2		         //对端id
        rightsubnet=0.0.0.0/0        	//对端保护子网
        rightdns=114.114.114.114 	
        auto=add                        //不发起ipsec连接

客户端-实例配置

conn %default
...
type=tunnel
dpddelay=180s
apdaction=restart   //dpd检测失败后重新连接

conn test-cli
	left=192.168.100.180
	auto=start   		      //主动发起连接
	keyingtries=%forever 	 //直到协商成功
	letfsubnet=192.18.0.2	 //保护子网
	right=192.168.100.161	//服务端IP
	leftid=198.18.0.2       //移动端ios作为标识要用
	reghtid=198.18.0.1      //对端

参数含义注解

  • 隧道参数
    在这里插入图片描述
  • 认证参数
    在这里插入图片描述
  • 综合参数
    在这里插入图片描述

认证配置 ipsec.secrets

在这里插入图片描述

(1) 配置psk密钥

 :PSK  “vpp123”   			//默认psk
 rightid :PSK    “123456//psk绑定隧道

(2) 配置私钥证书

   :RSA  vrf_0-key.pem      //存放于 /usr/local/etc/ipsec.d/peivate/ 目录下

(3) 配置EAP用户名和密码

 :EAP  "123456"  //用户名test 密码123456
 :EAP “vpp123”        //用户名任意,密码vpp123

strongswan.conf配置文件

ron {
    load_modular = yes   
    plugins {
            include strongswan.d/charon/*.conf    //加载插件
    }
     filelog {
		  /var/log/strongswan-log {
		  time_format-log = %b %e %T
		  default = 1  //日志调试级别
		  append = no
		  flush_line = yes
		}
    }
}
include strongswan.d/*.conf         //加载其下的所有.conf文件

在这里插入图片描述
参考链接:
官网 ipsec.conf 参数注解
官网 参数注解list

原文链接
https://blog.csdn.net/jkwanga/article/details/109621684

老理说的好
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
IPSec配置简介
hello
07-31 993
AR1 配置 静态路由 IP route-static 0.0.0.0 0 100.1.12.2。AR3 配置静态路由 IP route-static 0.0.0.0 0 100.1.13.2。可以看到pc1与pc2之间的通信已被ESP加密。最终pc1与pc2 可以互相ping 通。PC1 ping通 PC2。
Ipsec 详细配置
weixin_33847182的博客
05-18 241
1.Berlin(config)#crypto isakmp enable 启用IKE/isakmp(建立传送IPsec隧道参数的隧道) 2.Berlin(config)#crypto isakmp policy 1 设置isakmp策略 Berlin(config-isakmp)#authentication pre-share 身份验证方法:p...
ipsec~strongSwan
最新发布
whaosoft143ai的博客
06-12 1927
但是我这里是在使用VPP的vpp_sswan插件安装的,改了默认配置文件地址,在/etc中。最后排查发现,可能就是差了一个sudo systemctl restart strongswan.service,所以还是把这个服务给启动吧,然后上述解决步骤应该就不需要了。使用二进制包也行,就是用sudo apt install strongswan strongswan-swanctl,还有没有需要安装的我不晓得。按照那两个一开始的参考说的,现在使用的都是swanctl了,而不使用starter的方式了。
华为eNSP IPsec VPN配置指南
外游者
04-10 5776
虚拟专用网络(VPN)技术在现代网络中扮演着关键的角色,允许安全地连接不同位置的网络。在华为Enterprise Network Simulation Platform(eNSP)中,我们可以使用IPsec VPN配置站点到站点的安全连接。本章将详细介绍在eNSP中配置IPsec VPN的步骤,并解析每一条关键命令的含义。
IPSec配置
热门推荐
mizong的博客
09-24 1万+
要求: 1、R5为ISP只能配置IP地址 2、R1,R2,R3建立MGRE环境,R1为中心站点 3、R1环回192.168.1.0/24,R2-R4类似 4、R1,R2,R3使用OSPF 5、R1--R4间建立IPSec VPN R1 int s0/1 ip add 15.1.1.1 255.255.255.0 no shutdown int lo0 ip add ...
IPSEC的原理和配置
weixin_33941350的博客
04-21 342
IPSEC是一组协议集合,它为IP数据报提供高质量的、可互操作的、基于密码学的安全性。在特定的通讯双方之间的IP层通过加密和数据源验证的方式,保证数据报在网络上传输的私有性、完整性、真实性和防重放性。IPSEC规定了如何在对等网络之间选择安全协议、确定安全算法和密钥交换,向上提供了控制访问、数据源验证、数据加密等网络安全服务。 特点: 1、OS操作系统 win...
细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
pz641的博客
05-19 3906
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式中,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。本文介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理。一、IKE动态协商综述手工方式建立SA存在配置复杂、不支持发起方地址动态变化、建立的
IPSec VPN自动断开的问题
pocher的博客
12-18 1572
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动断开,DPD检测相当于Keepalive机制。
Tcp/IP之IPSec详解
05-20
### IPSec详解 #### 一、引言 随着互联网的发展,企业越来越依赖于网络进行通信。传统的通信方式,如DDN专线或ATM/帧中继等,虽然稳定可靠,但高昂的成本使得许多企业在考虑成本效益时不得不寻找替代方案。随着...
H3C_IPSec配置
11-11
### H3C IPSec配置详解 #### IPSec简介与实现 IPSec(IP Security),作为IETF(Internet Engineering Task Force)定义的一种三层隧道加密协议,致力于为互联网上传输的数据提供高度安全、可互操作且基于密码学的...
ESP详解解析.zip
10-02
在企业环境中,通常会通过防火墙或专门的IPsec设备来进行ESP的配置和管理。 9. **ESP的局限性与挑战**:尽管ESP提供了强大的安全功能,但它也有局限性,例如不提供抗否认服务,对于某些类型的攻击如中间人攻击也...
Netsh命令详解借鉴.pdf
12-10
- `netsh ipsec`:配置IP安全策略。 - `netsh ras`:配置远程访问服务。 - `netsh routing`:配置路由。 - `netsh rpc`:管理远程过程调用(RPC)服务。 - `netsh wins`:配置WINS服务。 每个子命令都有自己的参数...
H3C+IPsec+NAT穿越配置举例
12-17
### H3C+IPsec+NAT穿越配置详解 #### 一、特性介绍 IPsec (IP Security) 是一套由IETF(Internet Engineering Task Force)制定的协议标准,旨在为IP数据包提供高质量的安全保障,包括数据加密、源验证等功能,确保...
IPsec 原理和应用简介(一篇搞定~)
youzhangjing_的博客
02-06 1614
(Security Association 缩写SA,有些文章翻译为"安全联盟"),是建立ipsec通信所需的相关参数。比如加密密钥、认证密钥等,保存在SAD(SA Database)中。SP 描述了需要做什么;而 SA 描述了它应该如何实现。一对SA和SP负责一个方向的数据处理,双向都需要IPsec就需要两对SA和SP。建立SA,手工配置又复杂又不安全,生产上应该没人会用。
IPSEC
qq_39965491的博客
02-07 932
一丶IPSEC ipsec概述(RF 2401) (1) vpn的概念 网络层的安全保障机制(3层),可实现访问控制,机密性,完整性校验,数据源验证,拒绝重播报文等安全功能。 可以引入多种验证算法。加密算法和秘钥管理 iP Sec vp#是利用IPSEC隧道实现的L3 vpn IPsec具有配置复杂,消耗运算资源较多,增加延迟,不支持组播的缺点。 IPSEC的体系结构 (1) 安全协议:负责保护数据;AH/ESP (2) 工作模式:传输模式:实现端到端保护(终端到终端)---------不会新加包
IPSEC的原理及配置步骤整理(一)
m0_60444349的博客
08-10 6388
3.7 创建自定义服务,对外网放行UDP 500端口(IPSEC中的ike协议采用此端口发起和响应协商),在有NAT穿越的场景下,还要放开4500端口。(1)配置封装协议(有AH、ESP和AH-ESP三种);*******Ike就是用来创建和更新密钥的协议,用于IKE SA的协商,IPsec双方使用协商好的IKE SA去对IPsec SA的协商进行保护。IPSEC封装模式:封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。.........
Windows XP环境下IPSec 隧道的配置
雪小貂的博客
11-06 6431
前言:这是这学期防火墙课程的一个实验,觉得挺有意义,所以记录在博客里。一、 实验目的 本实验主要验证IP通信在建立IPSec隧道前后的变化,为了简化实验过程,这里只对ICMP进行加密,但在配置的过程中即可发现,其他IP协议要进行同样的加密也是非常简单的。二、实验环境 实验中使用以下软件和硬件设备 (1)Windows XP操作系统至少2台; (2)使用wireshark软件进行监控; (
手把手教您配置IPSec安全策略(转)
cuankuangzhong6373的博客
05-24 4662
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2...
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2066
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值